Несмотря на то, что большинство центров сертификации (CA) уже более двух месяцев не выдают сертификаты с использованием криптографической хэш-функции SHA-1, на одном из пяти веб-сайтов по всему миру по-прежнему используются такие сертификаты. Об этом говорит анализ фирмы Venafi.
С первого января этого года центры сертификации перешли на более безопасные сертификаты SHA-2. Кроме того, разработчики самых популярных браузеров, Google, Microsoft и Mozilla, больше не доверяют сайтам, использующим SHA-1-сертификаты. Даже Facebook анонсировал отказ от SHA-1.
Несмотря на это, многие владельцы сайтов еще не перешли на SHA-2, так как 21% всех веб-сайтов по-прежнему используют небезопасную криптографическую хеш-функцию. Об этом исследования Venafi, которые проанализировали более 33 миллионов общедоступных IPv4-сайтов. Ситуация значительно улучшилась в сравнении с прошлой осенью, тогда было обнаружено 35% сайтов, использующих SHA-1.
SHA-1 долгое время считался уязвимым для атак, но только в этом году он был окончательно взломан.
«Я подозреваю, что многие организации могут просто не знать, что у них все еще есть сертификаты SHA-1, причина заключается в том, что в вопросах управления своими ключами и сертификатами они полагаются на инструменты центра сертификации (CA). Проблема этого подхода заключается в том, что в организации может быть установлен сертификат, использующий слабые алгоритмы хеширования, так как в настоящее время бесплатные и очень недорогие сертификаты широко доступны» - объясняет эксперт Venafi, Shelley Boose.
